Este documento resume los conceptos clave de seguridad informática como la protección de la confidencialidad, integridad y disponibilidad de la información contra amenazas internas y externas. También describe cómo el gerenciamiento efectivo es fundamental para abordar los desafíos de seguridad, y que la Norma ISO/IRAM 17799 provee una estructura para establecer políticas, procedimientos, controles y planes de contingencia para la seguridad de la información.
1. Sensibilización en Seguridad Informática – Septiembre 2003
Sensibilización en Seguridad Informática
Septiembre 2003
Enrique Witte
Consultor
ArCERT – Coordinación de Emergencias en Redes Teleinformáticas
Oficina Nacional del Tecnologías Informáticas
Subsecretaría de la Gestión Pública.
Jefatura de Gabinete de Ministros.
ewitte@arcert.gov.ar - http://www.arcert.gov.ar
2. Sensibilización en Seguridad Informática – Septiembre 2003
Siendo que la información debe
considerarse como un recurso con el que
cuentan las Organizaciones y por lo tanto
tiene valor para éstas, al igual que el
resto de los activos, debe estar
debidamente protegida.
:: Qué se debe asegurar ?
3. Sensibilización en Seguridad Informática – Septiembre 2003
La Seguridad de la Información, protege a
ésta de una amplia gama de amenazas,
tanto de orden fortuito como destrucción,
incendio o inundaciones, como de orden
deliberado, tal como fraude, espionaje,
sabotaje, vandalismo, etc.
:: Contra qué se debe proteger la Información ?
4. Sensibilización en Seguridad Informática – Septiembre 2003
Confidencialidad: Se garantiza que la información es
accesible sólo a aquellas personas autorizadas a tener
acceso a la misma.
Integridad: Se salvaguarda la exactitud y totalidad de la
información y los métodos de procesamiento.
Disponibilidad: Se garantiza que los usuarios autorizados
tienen acceso a la información y a los recursos relacionados
con la misma toda vez que se requiera.
:: Qué se debe garantizar ?
5. Sensibilización en Seguridad Informática – Septiembre 2003
Las Organizaciones son cada vez mas
dependientes de sus Sistemas y Servicios
de Información, por lo tanto podemos
afirmar que son cada vez mas vulnerables
a las amenazas concernientes a su
seguridad.
:: Por qué aumentan las amenazas ?
6. Sensibilización en Seguridad Informática – Septiembre 2003
:: Por qué aumentan las amenazas ?
Crecimiento exponencial de las Redes
y Usuarios Interconectados
Profusión de las BD On-Line
Inmadurez de las Nuevas Tecnologías
Alta disponibilidad de Herramientas
Automatizadas de Ataques
Nuevas Técnicas de Ataque Distribuido
(Ej:DDoS)
Técnicas de Ingeniería Social
Algunas
Causas
7. Sensibilización en Seguridad Informática – Septiembre 2003
Accidentes: Averías, Catástrofes,
Interrupciones, ...
Errores: de Uso, Diseño, Control, ....
Intencionales Presenciales: Atentado con acceso
físico no autorizado
Intencionales Remotas: Requieren acceso al
canal de comunicación
:: Cuáles son las amenazas ?
8. Sensibilización en Seguridad Informática – Septiembre 2003
•Interceptación pasiva de la información
(amenaza a la CONFIDENCIALIDAD).
•Corrupción o destrucción de la
información (amenaza a la INTEGRIDAD).
•Suplantación de origen (amenaza a la
AUTENTICACIÓN).
:: Amenazas Intencionales Remotas
9. Sensibilización en Seguridad Informática – Septiembre 2003
Las tres primeras tecnologías de protección más utilizadas son el
control de acceso/passwords (100%), software anti-virus (97%) y
firewalls (86%)
Los ataques más comunes durante el último año fueron los virus
informáticos (27%) y el spammimg de correo electrónico (17%)
seguido de cerca (con un 10%) por los ataques de denegación de
servicio y el robo de notebook.
1
:: Cómo resolver el desafío de la Seguridad Informática ?
El problema de la Seguridad Informática está en su
Gerenciamiento
y no en las tecnologías disponibles
Fuente: Centro de Investigación en Seguridad Informática Argentina
10. Sensibilización en Seguridad Informática – Septiembre 2003
SOBIG.F
Según Trend Micro, en los últimos 7 días se infectaron 124.410
equipos en el mundo. Se dan todo tipo de cifras pero,
evidentemente, estas son solo estimaciones pues, como siempre,
nadie puede saber exactamente cuantas máquinas se han infectado
y cuantos usuarios se han perjudicado por las técnicas de spam que
utiliza el virus.
:: Ejemplo de problemas de Gerenciamiento ... I
• El virus, desde el punto de vista técnico no contiene
grandes novedades
• Incorpora archivos adjuntos de formato .PIF y .SCR,
que son los que producen la infección al abrirse
11. Sensibilización en Seguridad Informática – Septiembre 2003
SOBIG.F
Todo esto provoca varias reflexiones:
1. Hoy en día, según diversas encuestas publicadas, la gran
mayoría de las organizaciones cuentan con herramientas
antivirus y existe la facilidad de actualizarlas vía Internet
2. Dadas las proporciones del caso, todos los medios han difundido
cantidades de mensajes y de alertas. Todos los Directores de
TIs, Administradores de Red y demás responsables de sistemas
informáticos han tenido información profusa, donde se indicaba
que lo más peligroso era abrir los archivos adjuntos .PIF y .SCR .
:: Ejemplo de problemas de Gerenciamiento ...II
12. Sensibilización en Seguridad Informática – Septiembre 2003
SOBIG.F
O sea, existían 3 medios importantes para evitar las infecciones
masivas que se han producido:
:: Ejemplo de problemas de Gerenciamiento ...III
Evidentemente esto no se ha hecho masivamente permitiendo,
así, la rápida propagación del virus y la pregunta que surge es
¿Por qué? ¿Por falta de información? ¿Por falta de medios?...
a)Bloquear la entrada de estos archivos a las Redes.
b)Actualizar rápidamente sus antivirus.
c)Emitir inmediatamente las directivas necesarias para que
ningún usuario bajo su control activara los mismos. (¿o ya lo
deberían saber ?)
13. Sensibilización en Seguridad Informática – Septiembre 2003
:: Hasta acá ....
Protección de la Información
Confidencialidad
Integridad
Disponibilidad
Amenazas
Internas
Externas
Gerenciar Seguridad Informática
14. Sensibilización en Seguridad Informática – Septiembre 2003
PRESUPUESTO
•Presupuestos pesificados y disminuidos
•Mantenimiento o aumento de los objetivos a
cumplir
•La reducción de inversión en TI en la
Organización genera riesgos de Seguridad
Informática
•La reducción de inversión en TI de clientes,
proveedores y aliados, genera riesgos de
Seguridad Informática
:: Pero tenemos mas ...
15. Sensibilización en Seguridad Informática – Septiembre 2003
• Redes Únicas
• Concentración de Servicios Telefónicos y Datos
• Problemas de Confidencialidad y
Disponibilidad
:: Informática y Comunicaciones = Sistema de Seguridad
18. Sensibilización en Seguridad Informática – Septiembre 2003
:: El éxito de un Sistema de Seguridad Informática ...
Gerenciamiento
Diseño y Controles
Equilibrio Seguridad y
Operatividad
Ecuación Económica de
Inversión en TI
Ecuación de Riesgo
Organizacional
Reingeniería
19. Sensibilización en Seguridad Informática – Septiembre 2003
Apoyo de la Alta Gerencia
•RRHH con conocimientos y experiencia
•RRHH capacitados para el día a día
•Recursos Económicos
•Tiempo
:: Requerimiento básico
20. Sensibilización en Seguridad Informática – Septiembre 2003
Análisis de Riesgos
Se considera Riesgo Informático, a todo factor
que pueda generar una disminución en:
Confidencialidad – Disponibilidad - Integridad
•Determina la probabilidad de ocurrencia
•Determina el impacto potencial
:: Estructura de Seguridad – Análisis de Riesgos
21. Sensibilización en Seguridad Informática – Septiembre 2003
:: Análisis de Riesgos – Modelo de Gestión
Activos Amenazas
Impactos Vulnerabilidades
Riesgos
Función
Correctiva
Reduce
Función
Preventiva
Reduce
22. Sensibilización en Seguridad Informática – Septiembre 2003
Política de Seguridad
“Conjunto de Normas y Procedimientos
documentados y comunicados, que tienen por
objetivo minimizar los riesgos informáticos mas
probables”
:: Estructura de Seguridad – Política de Seguridad
Involucra
•Uso de herramientas
•Cumplimiento de Tareas por
parte de personas
23. Sensibilización en Seguridad Informática – Septiembre 2003
“Conjunto de Normas y Procedimientos
documentados y comunicados, cuyo objetivo
es recuperar operatividad mínima en un lapso
adecuado a la misión del sistema afectado,
ante emergencias generadas por los riesgos
informáticos”
:: Estructura de Seguridad – Plan de Contingencias
Involucra
•Uso de herramientas
•Cumplimiento de Tareas por
parte de personas
24. Sensibilización en Seguridad Informática – Septiembre 2003
• Auditoría Informática Interna capacitada
• Equipo de Control por Oposición
Formalizado
• Outsourcing de Auditoría
:: Control por Oposición
25. Sensibilización en Seguridad Informática – Septiembre 2003
• Copias de Resguardo
• Control de Acceso
• Encriptación
• Antivirus
• Barreras de Protección
• Sistemas de Detección de Intrusiones
:: Herramientas
27. Sensibilización en Seguridad Informática – Septiembre 2003
Estándares Internacionales
- Norma basada en la BS 7799
- Homologada por el IRAM
:: Norma ISO/IRAM 17.799
28. Sensibilización en Seguridad Informática – Septiembre 2003
ORGANIZACION DE LA SEGURIDAD
•Infraestructura de la Seguridad de la Información
•Seguridad del Acceso de terceros
•Servicios provistos por otras Organizaciones
CLASIFICACION Y CONTROL DE BIENES
•Responsabilidad de los Bienes
•Clasificación de la Información
:: Norma ISO/IRAM 17.799
29. Sensibilización en Seguridad Informática – Septiembre 2003
SEGURIDAD DEL PERSONAL
•Seguridad en la definición y la dotación de tareas
•Capacitación del usuario
•Respuesta a incidentes y mal funcionamiento de la
Seguridad
SEGURIDAD FISICA Y AMBIENTAL
•Áreas Seguras
•Seguridad de los Equipos
•Controles generales
:: Norma ISO/IRAM 17.799
30. Sensibilización en Seguridad Informática – Septiembre 2003
GESTION DE LAS COMUNICACIONES Y LAS
OPERACIONES
•Procedimientos operativos y responsabilidades
•Planificación y aceptación del Sistema
•Protección contra el software maligno
•Tares de acondicionamiento
•Administración de la red
•Intercambio de información y software
:: Norma ISO/IRAM 17.799
31. Sensibilización en Seguridad Informática – Septiembre 2003
CONTROL DE ACCESO
•Requisitos de la Organización para el control de acceso
•Administración del acceso de usuarios
•Responsabilidades de los usuarios
•Control de acceso de la Red
•Control de acceso al Sistema Operativo
•Control de acceso de las Aplicaciones
•Acceso y uso del Sistema de Monitoreo
•Computadoras móviles y trabajo a distancia
:: Norma ISO/IRAM 17.799
32. Sensibilización en Seguridad Informática – Septiembre 2003
DESARROLLO Y MANTENIMIENTO DE LOS
SISTEMAS
•Requisitos de Seguridad de los Sistemas
•Seguridad de los Sistemas de Aplicación
•Controles Criptográficos
•Seguridad de los archivos del Sistema
•Seguridad de los procesos de desarrollo y soporte
:: Norma ISO/IRAM 17.799
33. Sensibilización en Seguridad Informática – Septiembre 2003
DIRECCION DE LA CONTINUIDAD DE LA ORGANIZACION
•Aspectos de la dirección de continuidad de la
Organización
CUMPLIMIENTO
•Cumplimiento con los requisitos legales
•Revisión de la Política de seguridad y del Cumplimiento
Técnico
•Consideración de las Auditorías del Sistema
:: Norma ISO/IRAM 17.799
34. Sensibilización en Seguridad Informática – Septiembre 2003
Este material podrá obtenerlo en
http://www.arcert.gov.ar/
en la Sección “Novedades”
También encontrará allí un documento completo
con el resumen de las principales Normas
Legales vigentes referidas a la Seguridad
Informática
:: Fin de la presentación